Einführung
Die sich ständig weiterentwickelnden Bedrohungen werden immer komplexer, um ihre bösartige Natur zu verbergen und Sicherheitslösungen zu umgehen. Heutzutage liefern Bedrohungsakteure mehrschichtige Malware, die unter dem Radar fliegen kann und erst in den letzten Phasen der Bereitstellung bösartiges Verhalten zeigt.
Mehrschichtige Malware besteht aus mehreren Stufen und verwendet Verschleierungs- und Verschlüsselungstechniken sowie adaptive Taktiken, bei denen sich das Verhalten und die Funktionalität der Malware je nach dem System des Opfers weiterentwickeln. Eine wirksame Erkennung und Reaktion auf diese Bedrohungen erfordert ein umfassendes Verständnis des Verhaltens der Malware, was viel Zeit und Ressourcen in Anspruch nimmt.
To deal with multi-layered attacks, OPSWAT MetaDefender Aether follows a holistic approach that combines a unique emulation-based adaptive threat analysis technology together with advanced detection and threat intelligence capabilities.
Kombination von statischen und dynamischen Analysen zur Bekämpfung ausgefeilter Malware
The MetaDefender Aether engine stands at the forefront of threat detection, seamlessly combining static and dynamic analysis techniques to thwart even the most sophisticated attacks.
- Tiefe Strukturanalyse: eine erste statische Dateibewertung, die eine Früherkennung von mehr als 50 unterstützten Dateitypen ermöglicht und eingebettete aktive Inhalte zur weiteren Analyse extrahiert.
- Dynamische Inhaltsanalyse: Untersucht und analysiert Inhalt und Kontext von E-Mails, Webseiten und Dokumenten, um versteckte bösartige Aktivitäten einschließlich verdächtiger URLs aufzudecken. Dies ist eine besonders nützliche Schutzmaßnahme gegen Phishing-Angriffe.
- Adaptive Threat Analysis: Emulationsbasierte dynamische Analyse, die die Kontrolle über den Ausführungsfluss von Malware behält, selbst wenn diese auf eine bestimmte Umgebung ausgerichtet ist. Es unterstützt Office-Dateien, Portable Executables und die meisten gängigen Skripte.
Beachten Sie, dass alle Module ineinander übergehen und einen nahtlosen Austausch von Analysen und Informationen gewährleisten.
All diese Technologien spielen eine entscheidende Rolle, indem sie einen beispiellosen Einblick in die verschiedenen Angriffsebenen bieten, sich in Echtzeit an die Zielumgebungen anpassen, um moderne Malware genau zu bewerten, und einen vertrauenswürdigen Satz von Kompromittierungsindikatoren (Indicators of Compromise, IOC) generieren, die anhand von MetaDefender Cloud, aktuellen Bedrohungsdaten und relevanten Taktiken, Techniken und Verfahren (TTP) validiert werden.
Entfesseln Sie die Kraft von MetaDefender's Advanced Threat Detection
Der folgende Anwendungsfall veranschaulicht, wie mehrere Module der Bedrohungserkennungs-Engine zusammenarbeiten, um Cobalt Strike (CS), einen fortschrittlichen Malware-Simulator, ins Visier zu nehmen und äußerst wertvolle Erkenntnisse zu gewinnen.
CS ist ein kommerzielles Fernzugriffs-Tool, das für die Durchführung gezielter Angriffe und die Nachahmung der Aktionen fortgeschrittener Bedrohungsakteure nach der Ausbeutung entwickelt wurde. Geknackte Versionen von CS sind unter Bedrohungsakteuren weit verbreitet und ermöglichen es ihnen, einen speicherinternen Agenten (Beacon) auf dem Opferhost einzusetzen, ohne die Festplatte zu berühren. CS Beacon unterstützt die Common and Control (C2)-Kommunikation über verschiedene Protokolle und eine Fülle von Funktionen, darunter Privilegienerweiterung, Auslesen von Anmeldeinformationen, Lateral Movement und Datenexfiltration.
CS is delivered in myriad varieties, each presenting its own unique challenges for detection and analysis. MetaDefender Aether adapts to these new delivery methods to detect highly obfuscated and encrypted malware, giving us a deep understanding of its functionality and extracting high value IOC and TTPs.
Beispielhafte Übersicht
Bei dem analysierten Beispiel handelt es sich um eine mit Pyinstaller kompilierte Portable Executable (PE)-Datei, die heimlich eine Cobalt Strike Stager PE von einem bösartigen Host herunterlädt. Anschließend entschlüsselt die Stager-PE den eingebetteten CS-Beacon und injiziert ihn in den Speicher, um die Kommunikation mit C2 zu starten.
Schicht 1: Mit Pyinstaller kompilierte PE
PyInstaller bündelt eine Python-Anwendung und alle ihre Abhängigkeiten in einem einzigen Paket, so dass der Benutzer die Anwendung ausführen kann, ohne einen Python-Interpreter oder Module zu installieren, was für die Ersteller von Malware attraktiv ist.
A static analysis of this file will only yield a lot of useless noise instead of focusing on its malicious behavior. MetaDefender Aether unpacks and extracts the compiled bytecode (pyc) files and embedded artifacts used by the original python code. Then, it decompiles the pyc files to get the original python code, which allows us to detect threat indicators and extract high value IOCs.
Pyinstaller needs a specific unpacking process that is not supported even by the most common file archivers MetaDefender Aether now includes a built-in python unpacking feature, which also supports other common python compilers such us Nuitka and Py2exe.
Diese neue Funktion hilft uns, diese erste Verpackungsebene zu umgehen und mit der Analyse der entpackten Dateien fortzufahren.
Schicht 2: Dekompilieren von Python-Code und Herunterladen bösartiger Artefakte zur Analyse
Die Dekompilierung der Python-Dateien zeigt uns, dass diese Malware eine PE-Datei (CS stager) von einer bösartigen URL herunterlädt. Anschließend führt sie den CS Stager aus und entfernt ihn von der Festplatte, um potenzielle IOCs zu beseitigen. Außerdem wird eine gefälschte Windows-Meldung eingeblendet, um dem Benutzer vorzugaukeln, dass ein Fehler aufgetreten ist.
MetaDefender Aether extracts the malicious URL and downloads the stager for further analysis.
Schicht 3: Cobalt Strike-Konfigurationsdekodierung
The downloaded PE (cs.exe) is a stager that decrypts a second PE file, which decrypts the CS beacon and injects it into memory. There are many techniques that CS uses to hide the beacon and make its detection harder. MetaDefender Aether is able to statically follow its execution flow until it reaches the CS beacon and extracts its configuration.
Der CS stager versteckt eine XOR-verschlüsselte PE-Datei in seinem .data-Abschnitt. Diese zweite PE entspricht einer DLL-Datei, die über den bekannten DLL-Header (MZARUH) identifizierbar ist und den Beginn des Standard-Reflective-Loader-Stubs für das CS-Beacon darstellt. Das bedeutet, dass die anfängliche PE für die Zuweisung und das Kopieren der Reflective Loader-DLL in den Speicher, das Parsen und Auflösen der Adressen der Importfunktionen und die Ausführung des DLL-Einstiegspunkts zuständig ist. Schließlich entschlüsselt der Reflective Loader das CS-Beacon und führt es im Speicher aus.
Die CS-Baken-Konfiguration wird in der Reflective Loader-DLL verschlüsselt mit einem einzigen Byte XOR gespeichert. Beachten Sie, dass die CS-Konfiguration immer mit dem Bytemuster "00 01 00 01 00 02" beginnt, was uns hilft, sie leicht zu identifizieren, selbst wenn sie mit Brute-Force-XOR verschlüsselt wurde.
Schlussfolgerung
This technical analysis of a CS highlights the complexity and depth of current cyber threats and demonstrates MetaDefender Aether‘s powerful, advanced threat engine effectively analyzing multi-layered attacks with remarkable speed.
Die Python-Funktion zum Entpacken und Dekompilieren ermöglicht eine tiefere Analyse, die für die Aufdeckung des wahren Charakters des Schadprogramms unerlässlich ist. Wir haben gesehen, wie das Entpacken zusätzliche Aktionen ausgelöst hat, die zur Erkennung und Extraktion der CS-Konfiguration führten.
Das Extrahieren der Malware-Konfiguration offenbart immer wertvolle IOCs und ermöglicht eine genaue Malware-Identifizierung. Unser engagiertes Team von Malware-Analysten erweitert ständig die Palette der unterstützten Malware-Familien, um eine umfassende Abdeckung zu gewährleisten und eine rasche Erkennung neuer Bedrohungen zu ermöglichen.
Indikatoren für Kompromisse (IOCs)
Mit Pyinstaller kompilierte PE
Sha256: d5a5a87cbc499d39797bcba85232fd1eede2fd81f4d5a1147454324968185926
Cobalt Strike Stager
Sha256: d8674a668cb51fe0d8dc89740c03e95d1f659fb6cb66ec8c896e3b1af748662f
Bösartige URL
hxxp[://]43[.]143[.]130[.]124:8000/cs[.]exe
Cobalt Strike C2 IP-Adresse
43[.]143[.]130[.]124
